Az adatkezelés jogszerűségének nagyon fontos eleme, hogy az adatkezelésre milyen jogalapon kerül sor. Az adatkezelő kötelezettsége ugyanis, hogy az adatkezelés vonatkozásában gondoskodjon a megfelelő jogalap meglétéről. A Rendelet preambuluma (40) szerint:
Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.
Ahogy egy korábbi posztomban már írtam róla, sok adatkezelő a hozzájárulást tekinti az adatkezelés elsődleges jogalapjának, így gyakran olyan esetekben is hozzájárulás beszerzésére törekszenek, amikor erre nincs szükség. Érdemes tehát áttekinteni, hogy a hozzájárulás mellett milyen egyéb jogalapok állnak rendelkezésre. Különösen fontos lehet ez Magyarországon, hiszen a 95/46/EK irányelv ("Irányelv") jogalapokra vonatkozó rendelkezéseinek nem megfelelő átültetése miatt hosszú időn át jelentős jogalkalmazási nehézségeket okozott a megfelelő jogalap meghatározása.
Az Irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).
Milyen adatkezelési jogalapokat ismer a GDPR?
Az adatkezelés jogszerűségéhez - a GDPR 6. cikke alapján - legalább az alábbi jogalapok egyikének fennállása szükséges:
a) |
az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; |
b) |
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; |
c) |
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; |
d) |
az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; |
e) |
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; |
f) |
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. |
Mit kell tenniük az adatkezelőknek?
Az adatkezelőknek mindenekelőtt azt kell mérlegelniük, hogy a tervezett adatkezelésük milyen jogalapon végezhető. Az elszámoltathatóság elvének megfelelően pedig fontos, hogy az adatkezelő igazolni is tudja a jogalap meglétét.
Fontos, hogy az adatkezelés önmagában a megfelelő jogalap biztosításától nem lesz jogszerű, ehhez az is kell, hogy az adatkezelés megfeleljen a GDPR-ban és adott esetben más szektorális szabályokban megfogalmazott egyéb követelményeknek (pl. célhoz kötött legyen, csak a szükséges adatok kezelésére kerüljön sor, az érintetti jogok érvényesüljenek stb.).
Mi a helyzet a különleges adatokkal?
Bizonyos típusú személyes adatok kezeléséhez a GDPR - hasonlóan az Irányelvhez - még szigorúbb feltételeket szab az adatkezelők részére. Ezek olyan szenzitív adatok, amelyek védelméhez fokozott egyéni és társadalmi érdekek kapcsolódnak.
A személyes adatok különleges kategóriáiba az alábbi adatok tartoznak a Rendelet 9. cikke szerint: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. A genetikai adatok, a biometrikus adatok és az egészségügyi adatok fogalmát külön is meghatározza a GDPR (lásd 4. cikk 13., 14. és 15. pontok). Fontos, hogy a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésével kapcsolatban lehetnek eltérések az egyes tagállamokban, mivel a Rendelet felhatalmazást ad a tagállamok részére, hogy ezen adatok kezelése tekintetében további feltételeket – köztük korlátozásokat – vezessenek be vagy tartsanak hatályban.
Főszabály szerint az adatok e különleges kategóriáinak kezelése tilos. Ez a tilalom azonban nem érvényesül (azaz a különleges adatok mégis kezelhetők) a Rendelet 9. cikk (2) bekezdésében meghatározott feltételek egyikének fennállása esetén:
a) |
az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával; |
b) |
az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi; |
c) |
az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni; |
d) |
az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára; |
e) |
az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott; |
f) |
az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el; |
g) |
az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő; |
h) |
az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel; |
i) |
az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan; |
j) |
az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő. |
(A Rendelet 10. cikke alapján speciális szabályok vonatkoznak a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésére is.)